Для защиты внешних узлов от спуфинга внешних адресов можно использовать ключевое слово anti spoof: antispoof quick for $INT_IF inet Далее нам необходимо блокировать любые пакеты со входа или выхода внешнего интерфейса, имеющего немаршрутазируемый IP-адрес RFC 1918.

Такие паке- ты, если не указаны позднее явно, будут «отловлены» нашей политикой отказа (deny policy). Однако если использовать правило, специально соответствующее этим пакетам, и использовать ключевое слово quick, мы сможем повысить производительность добавлением следующего правила: block drop quick on $EXT_IF from any to <rfcl918> Если необходимо сделать так, чтобы трафик нашей сети предназначался для web- сервера с адресом 192.168.1.20, то необходимо использовать следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.20 port 80 \ modulate state flags S/SA Это позволит пакетам попадать на 80-й TCP-порт на сервере 192.168.1.20, только если они установят новое соединение (так как установлен флаг SYN) и введут соединение в таблицу состояния. Ключевое слово modulate гарантирует, что для сессии будет сгенерирован высококачественный начальный порядковый номер (initial sequence number), который важен, если операционная система, используемая на любом конце соединения, использует неудовлетворительный алгоритм генерации ISN.

0018-028-Eto-interesno

На заметку: Если Вы ищите радио Зеленоград, где можно узнать различные новости в том числе и о  работе гибдд Зеленоград, тогда рекомендуем посетить сайт http://www.radiozelenograd.ru.

Подобным образом для передачи трафика на сервер и от сервера электронной почты, имеющего адрес 192.168.1.21, можно воспользоваться следующим правилом: pass in on $EXT_IF proto tcp from any to 192.168.1.21 \ port { smtp. рорЗ. imap2, imaps } modulate state flags S/SA Обратите внимание на то, что в правиле может указываться несколько портов, разделенных запятыми и заключенных в фигурные скобки. Кроме того, можно использовать имя службы (определенной в /etc/services), а не указывать номер порта службы. Для включения трафика к DNS-серзеру, имеющему адрес 192.168.1.18, необходимо добавить следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.18 port 53 \ modulate state flags S/SA При этом межсетевой экран по-прежнему осуществляет блокировку UDP DNS- трафика. Для его включения добавьте следующее правило: pass in on $EXT__IF proto udp from any to 192.168.1.18 port 53 \ keep statе.

Обратите внимание на то, что, хотя это правило для UDP-пакетов, мы все равно используем ключевое слово state. В этом случае PF будет отслеживать соединение, используя IP-адреса источника и пункта назначения, а также пары портов.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *